路由器网络安全最佳实践

admin 2022年10月11日12:15:09评论38 views字数 1874阅读6分14秒阅读模式

路由器网络安全最佳实践


您的办公室和家中可能有各种各样的互联网连接设备,例如计算机、平板电脑、智能手机、打印机、智能电视和各种物联网 (IoT) 设备。路由器使多个设备能够使用同一连接连接到互联网。
没有互联网连接的路由器通常用于无线连接本地区域内的设备,以便您可以访问无线/网络打印机、共享文件以及在连接的设备之间进行通信。
不幸的是,对于试图渗透网络进行网络攻击的网络犯罪分子来说,路由器是有吸引力的目标。本文档提供有关网络安全的信息保护您的路由器免受入侵的最佳实践。

什么是路由器?

路由器网络安全最佳实践
路由器是用于为本地设备创建网络的硬件。然后调制解调器将该网络连接到互联网。一些单元结合了这两种功能,通常也被称为路由器。路由器负责在网络内的设备之间转发消息(数据包)。
为此,路由器为网络上的每个设备分配一个唯一的本地 Internet 协议 (IP) 地址。路由器收到要投递的数据包后,读取目的IP地址,查找路由表确定下一跳,并相应地转发数据包。

受损路由器的影响是什么?

威胁参与者使用各种技术自动扫描易受网络攻击的路由器等硬件。如果路由器配置不当或配置不当,它们很容易受到攻击。当您的路由器受到威胁时,威胁参与者可以:
  • 从连接到您网络的任何设备中窃取个人身份信息 (PII) 并将其用于恶意目的。
  • 访问用户帐户的登录凭据并使用它们来获得对网络和设备的未经授权的访问。威胁参与者可以通过更改路由器解析合法网站并将您重定向到恶意软件服务网站的能力来访问登录凭据。
  • 监控、修改和拒绝进出您的组织的流量,或保持对您的网络的持久访问以应对未来的攻击。
  • 利用暴露的数据或知识产权来执行高级网络攻击,例如支持间谍活动。
  • 将您的路由器劫持或同化到受感染设备的网络中以创建僵尸网络。威胁参与者使用僵尸网络进行分布式拒绝服务 (DDoS) 攻击,这将使您的服务器因互联网流量而不堪重负,并破坏您提供基本业务运营和服务的能力。

如何防止您的路由器被入侵

可以采取以下措施来保护您的路由器免受网络攻击。从基础开始,随着时间的推移实施额外的措施。

基本措施

  • 更改 Wi-Fi 网络和路由器的所有默认密码。尽可能使用密码短语或强、唯一且复杂的密码。密码短语/密码对于保护您的路由器免受暴力攻击以破解密码非常重要。

  • 打开 Wi-Fi 保护访问 (WPA)以保护互联网流量免受未经授权的访问。WPA2 或更新的 WPA3 在路由器和您的设备之间提供强大的加密。

  • 禁用服务集标识符 (SSID) 广播,这样您的无线网络名称就不会被附近扫描网络的威胁者轻易看到。

  • 更改默认无线网络 SSID 名称。这可以防止威胁参与者轻松识别路由器的品牌和型号,并可能确定该设备是否存在漏洞。

  • 禁用 WPS(Wi-Fi 保护设置)。这是一项方便的功能,可简化将设备连接到 Wi-Fi 路由器的过程。但是,范围内的威胁参与者可以暴力破解 PIN 身份验证方法。

  • 保持路由器的固件为最新。这可确保您安装了最新的安全补丁来解决已知漏洞。如果您的路由器型号具有此功能,请打开自动固件更新。

  • 设置访客网络,为您的访客和您的物联网设备启用互联网连接。这可以避免共享密码并降低威胁者访问您的主要网络设备和敏感信息的风险。

  • 物理安全。确保对设备的物理访问受到限制,并且对 Wi-Fi 接入点的访问同样受到保护。

附加措施

  • 安排例行重启以清除系统内存并刷新所有连接。重新启动路由器可能会破坏任何可能已植入的潜在恶意软件。

  • 尽可能禁用远程访问管理,以防止未经授权的人远程访问您的路由器并对其进行篡改。

  • 禁用简单网络管理协议 (SNMP)以降低威胁参与者收集有关您的网络的基本系统配置信息的风险。

  • 为每个路由器管理员设置自己的登录用户名、唯一密码和适当的权限级别。如果启用了事件日志记录,那么登录信息对于审计和事件调查目的将很重要。

  • 使用媒体访问控制 (MAC) 过滤来选择哪些受信任的设备连接到您的网络。

  • 启用端口过滤。例如,SANS 研究所建议阻止使用以下端口的出站流量,以防止不需要的流量传出到 Internet:

    • MS RPC - TCP 和 UDP 端口 135
    • NetBIOS/IP - TCP 和 UDP 端口 137-139
    • SMB/IP - TCP 端口 445
    • 普通文件传输协议 (TFTP) - UDP 端口 69
    • 系统日志 - UDP 端口 514
    • 简单网络管理协议 (SNMP) - UDP 端口 161-162
    • Internet 中继聊天 (IRC) - TCP 端口 6660-6669

  • 启用事件记录并定期监控活动。这将允许您检测针对路由器的攻击类型,并实施主动缓解措施。

  • 如果使用 Syslog 服务器进行监控,请将默认 UDP 端口 514 更改为使用 TCP 514 或 TCP 6514 等替代端口。

原文始发于微信公众号(网络研究院):路由器网络安全最佳实践

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月11日12:15:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   路由器网络安全最佳实践http://cn-sec.com/archives/1342232.html

发表评论

匿名网友 填写信息